Snyk トップ10 コード脆弱性レポート
2023年5月18日
0 分で読めます今年初め、Snyk はユーザー スキャンに基づくデータから、オープンソースの脆弱性トップ 10 に関するレポートを発表しました。このレポートでは、Snyk ユーザーがサードパーティのコードや依存関係において発見した最も一般的かつ重大な脆弱性について詳しく紹介しています。
その内容を踏まえ、ファーストパーティーのコードで最も一般的な脆弱性を調査することにしました。OWASP はオープンソースのセキュリティインテリジェンスの指針となりましたが、プロプライエタリなコードに関するデータ収集はそれよりもやや複雑でした。幸い、Snyk セキュリティチーム (社内で最先端の機械学習とハイブリッド AI を担当するチームと同一) は、2021 年に確認された最多のコード脆弱性に関する公平なデータを用意できました。
「Snyk トップ10 コード脆弱性レポート」では、代表的な 7 つの言語である JavaScript、Java、Python、Go、PHP、Ruby、C# を対象に、最も一般的に見られる 10 種類の脆弱性をまとめました。このレポートに掲載されている 10 種類の脆弱性は、いずれも一度は目にする可能性がありますが、プロジェクトでこうした脆弱性が出現する頻度や傾向は、言語、アプリケーション、コーディングガイドラインなどに応じて変動します。
よく使用する言語について詳細を確認できるよう、上記 7 言語それぞれのトップ 10 チートシートも作成しました。このチートシートには、特定の言語で最も一般的な 10 種類の脆弱性を、発生頻度別にランク付けして掲載しています。各脆弱性の種類は、関連する CWE ページまたは Snyk Learn のレッスンへのリンクが設定されており、詳細情報を確認できます。
安全を確保し、知識を身につけ、メディアを騒がせないようにすること
開発チームのプロプライエタリなコードはあらゆるアプリケーションの根幹であり、アプリケーションとコードのセキュリティは極めて重要です。Snyk Code は開発者向けのリアルタイム SAST ツールです。コードを記述する際にセキュリティを確保できるため、全体的な脆弱性の数とセキュリティのバックログを削減できます。今すぐ無料アカウントを作成して、開発者が開発者のために作ったツールがどのような違いを生み出すかをぜひ体験してください。
「Snyk トップ10 コード脆弱性レポート」を今すぐダウンロードして、最も一般的なコード脆弱性の詳細とその対応策をご確認ください。言語別チートシートのリンクについては、Snyk トップ10 のウェブページをご覧ください。
最後に、ご都合に合わせてご覧いただけるウェビナーもご用意しています。Snyk Codeの技術製品マーケティングマネージャーを務める Frank Fischer が、2023 年に避けるべきコード脆弱性のトップ 10 について説明するオンデマンド録画は、下記からご覧いただけます。
Snyk トップ10
2022 年のトップ 10 コード脆弱性
2022 年のオープンソースおよびファーストパーティで最多だったコード脆弱性に関する Snykトップ10 レポートをご覧ください。